反序列化 - 第 31 | CN-SEC 中文网

安全新闻

CVE-2024-5452：严重的 PyTorch Lightning 漏洞导致 AI 模型遭受远程劫持

由于lightning-ai/pytorch-lightning中的状态改变端点导致的属性 / 类污染导致的 RCE描述此漏洞的根本原因是反序列化用户输入以及库未正确处理 dunder 属性deepd...

07月04日60 views评论

阅读全文

代码审计

【JAVA安全】Java反序列化CommonsCollections-CC1链及JAVA审计学习路线

本文由安云星球内部群P1ng@n师傅投稿，师傅也是Rookie工具的开发者，师傅们需要海康或者亿赛通的综合利用工具可以瞅瞅，顺手点个starhttps://github.com/P1nganD/Roo...

07月04日15 views评论

阅读全文

安全文章

靶场上新：showdoc前台SQL注入+后台Phar反序列化

本文由掌控安全学院 - 江月投稿封神台新上线漏洞复现靶场：showdoc<=3.2.5 前台SQL注入+后台Phar反序列化漏洞详情： ShowDoc是一个非常适合IT团队...

07月03日129 views评论

阅读全文

安全漏洞

CVE-2024-24590 | 反序列化

免责声明：本文所涉及的信息安全技术知识仅供参考和学习之用，并不构成任何明示或暗示的保证。读者在使用本文提供的信息时，应自行判断其适用性，并承担由此产生的一切风险和责任。本文作者对于读者基于本文内容所做...

07月03日56 views评论

阅读全文

代码审计

Fastjson反序列化漏洞深度分析

概述Fastjson是阿里巴巴的⼀个开源Java库，提供了Java对象与Json相互转换的APItoJSONString()方法：将Json对象转换成Json字符串；parseObject()方法：将...

07月03日21 views评论

阅读全文

安全文章

调试案例研究：ViewState 反序列化利用

描述TLDR：感谢@0xdf_提供此内存转储。本文基于从https://0xdf.gitlab.io/2024/06/08/htb-pov.html搜寻工件，但纯粹是从内存转储的角度。本文中使用了以下...

06月29日48 views评论

阅读全文

安全闲碎

[翻译]Apache Kafka UI 中的远程代码执行 ( CVE-2023-52251、CVE-2024-32030)

本译文首发于先知社区，原文地址：‍‍‍‍‍https://xz.aliyun.com/t/14923英文原文地址：https://securitylab.github.com/advisories/G...

06月29日49 views评论

阅读全文

安全漏洞

Apache Kafka UI反序列化漏洞

0x00 漏洞编号CVE-2024-320300x01 危险等级高危0x02 漏洞概述Kafka UI是Apache Kafka Management的开源Web UI，旨在简化Apache Kafk...

06月29日19 views评论

阅读全文

安全文章

通过发送 JSON 来执行命令？了解 Ruby 项目中不安全的反序列化漏洞如何运作

攻击者是否可以通过发送 JSON 在远程服务器上执行任意命令？是的，如果正在运行的代码包含不安全的反序列化漏洞。但这怎么可能呢？在这篇博文中，我们将描述不安全的反序列化漏洞的工作原理以及如何在 Rub...

06月28日45 views评论

阅读全文

安全百科

浅谈黑盒识别Fastjson/Jackson组件

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦原文由作者授权，首发在奇安信攻防社区https://forum.butian.net/share/...

06月27日44 views评论

阅读全文

代码审计

反序列化学习之路-CC5

前言在我们分析前几条链后，对于CC已经很熟悉了，CC5链和CC1差不多，只不过调用LazyMap.get()是通过TiedMapEntry.toString()触发1.环境安装我们可以接着使用之前已经...

06月25日87 views评论

阅读全文

安全漏洞

【漏洞预警】Apache Kafka UI 需授权反序列化漏洞CVE-2024-32030

漏洞描述:Apache Kafka UI 0.7.2之前版本存在安全漏洞,该漏洞源于容易受到反序列化攻击,可能导致身份验证后远程代码执行,值得注意的是默认情况下Apache Kafka UI并没有启用...

06月25日30 views评论

阅读全文

CVE-2024-5452：严重的 PyTorch Lightning 漏洞导致 AI 模型遭受远程劫持

【JAVA安全】Java反序列化CommonsCollections-CC1链及JAVA审计学习路线

靶场上新：showdoc前台SQL注入+后台Phar反序列化

CVE-2024-24590 | 反序列化

Fastjson反序列化漏洞深度分析

调试案例研究：ViewState 反序列化利用

[翻译]Apache Kafka UI 中的远程代码执行 ( CVE-2023-52251、CVE-2024-32030)

Apache Kafka UI反序列化漏洞

通过发送 JSON 来执行命令？了解 Ruby 项目中不安全的反序列化漏洞如何运作

浅谈黑盒识别Fastjson/Jackson组件

反序列化学习之路-CC5

【漏洞预警】Apache Kafka UI 需授权反序列化漏洞CVE-2024-32030

在线咨询

微信